Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Splunk資安智慧分析平台

3,606 views

Published on

HoneyCon 2013 的講題與簡報

Published in: Software
  • Be the first to comment

Splunk資安智慧分析平台

  1. 1. 1 Splunk 資安智慧分析平台 陶靖霖 (Wisely Tao) 精誠資訊 Splunk 產品經理
  2. 2. 2 首先,複習一下 APT
  3. 3. 3 APT的特性 • 高度客製化,非常具有針對性 • 對傳統防禦機制具有欺騙性與隱蔽性 • 具有持續行為,不達目的不罷休 • 沒有終極解決方案 • 非單一產品可以應對
  4. 4. 4 APT的防禦策略 • 保密防諜,人人有責 – 資安意識訓練 (Awareness Training) – Human Firewall ?! – 人永遠是弱點 – 治本的好方法 – 緩不濟急 – 越是APT目標的人越需要 – 越是個咖越困難 要一個人學會不開啟APT檔案,是非常不人道的事情。 - by 某資安專家
  5. 5. 5 APT的防禦策略 • 禦敵於國土之外 – 邊界防禦 (Edge Security) – 既有資安產品成效有限 – 所有客戶的期待,眾家資安廠商努力的領域 – 面對APT的第一道防線,非常容易遭到針對性反制
  6. 6. 6 APT的防禦策略 • 滯敵於圯地之中 - 縱深防禦 (Defense in Depth) – 邊界防禦失效以後的倚賴 – 攻擊是一個流程,縱深防禦的目的在切斷流程 – 也許會有損失,但可以減輕或減緩損失的發生
  7. 7. 7 成功阻止APT的前提 • 要先能發現APT攻擊 • 還要能分辨真假
  8. 8. 8
  9. 9. 9 監控與稽核 9 • 狀態管理(監控) & 變更管理(稽核) • 目的都是為了發現異常行為
  10. 10. 10 面對APT事件,企業優先關注的是? 「點」的深入 • 攻擊路徑、方法與突破點 • 惡意程式行為與隱蔽技術 • 中繼站與攻擊來源追查 • … 「線」、「面」的掌握 • 受影響程度與範圍 • 隔離、排查與損害控制 • 災損調查與復原措施 • …
  11. 11. 11 讓專業的來! • 組合語言、C語言、Script… • 反組譯與逆向工程 • 脫殼技術 • Rootkit 技術 • 弱點利用與 Exploit 研究 • Shellcode • 木馬技術與掛馬技術 • 記憶體分析 • 惡意程式知識 • 大量實戰經驗 找不到 養不起 待不住 非核心業務 還是讓專業的團隊來吧!
  12. 12. 12 可以向 Honeynet 學習 建立一個充滿弱點可控制的環境 偵測與監控異常 防止異常行為跳脫控制 分析、歸納與應用
  13. 13. 13 傳統資安管理工具的困境
  14. 14. 14 把 SIEM 當 IDS 用 把 Logger 當 DW 用
  15. 15. 15 資安是… 一場持續性的組織戰 需要數字化管理
  16. 16. 16 巨量資安資料,分析是個大工程 資安相關日誌 非資安日誌企業資安管理 防火牆日誌 入侵防禦系統日誌 防毒軟體日誌 資料庫稽核日誌 作業系統稽核日誌 應用系統稽核日誌 AD/LDAP存取日誌 VPN 存取日誌 網站存取日誌 DNS存取日誌 Proxy存取日誌 Mail存取日誌 應用系統日誌 資料庫系統日誌 系統交易日誌 設定變更日誌 追查機密外洩 個資外洩舉證 調查APT攻擊 調查系統癱瘓
  17. 17. 17 APT 帶來的「未知威脅」新挑戰 該如何對 抗「未知 的威脅」? 防禦機制 會被繞過 傳統偵測 機制無效 沒有顯著 特徵
  18. 18. 18 資安事件越來越難管理 事前 預防 事發 偵測 事後 應變 事終 回復 惡意攻擊肆虐期間 眾家資安廠商努力的目標 企業真正發現 問題的時間點 企業應該著力的投資
  19. 19. 19 資安應變團隊需要配備升級 • CSIRT ,或稱為 SOC – 監控資安事件 – 處理資安事故 – 管理資安狀態 • 「通常」會配備 SIEM 協助管理與分析
  20. 20. 20 資安應變團隊需要配備升級 擴充性與效能 • 先天架構限制 • 事件查找耗時 • 需專家持續協助優化 資料收集與正規化 • 格式種類多變 • 一般日誌的需求 • 非結構化日誌 導入與調整 • 誤報漏報難兼顧 • 規則設計需要專業 趨勢與分析報表 • 報表產生耗時費力 • 格式缺乏調整彈性 規則導向設計 • 未涵蓋非資安日誌 • 難應對未知威脅 攻擊型態與面向的改變,傳統的SIEM已經不敷使用
  21. 21. 21 Splunk 資安智慧分析平台
  22. 22. 22 Splunk 其實不是資安產品 22 全球最佳 Big Data 創新應用公司
  23. 23. 23 但總是會跟資安扯在一起 Gartner 2013 MQ for SIEM 進入領導者象限
  24. 24. 24 使機器產生的資料可以 收集、儲存、分析、使用、呈現 並為使用者帶來商業價值
  25. 25. 25 機器資料特性與類型 25 特性 時間序列,時間順序性 純文字格式(Plain Text) 內容產生後不再修改 日誌(Log/Event) 紀錄(Record) 封包資訊 工業設備訊號 感應器資料 資料庫內的資料 效能量測指標 Message/Queue 設定檔 點擊紀錄 系統畫面 STDOUT API 輸出
  26. 26. 26 機器資料可以拿來做什麼? 26 避險 節流 開源 日誌管理 資安稽核 法規遵循 個資法 ISO27001 / ISO20000 資安監控 資安事件分析 網站分析 App分析 使用者行為分析 商業情報分析 精準行銷 Business Insight (CEM)用戶經驗管理 IT 與系統狀態監控 效能與資源監控 應用系統管理/監控 故障查找排除 異常問題調查 資源規劃
  27. 27. 27 Splunk 可將機器資料化為智慧應用 結合外部資料來源 即時收集 即時索引 各式各樣型態的機器資料 日誌 效能指標 交易紀錄 訊息通知 使用者行為 Metadata Database 報表與分析 客製化 儀表板 即時監視 與告警 快速搜 尋 整合與介接 創造各式各樣應用案例
  28. 28. 28 Splunk 資安智慧分析平台
  29. 29. 29 Splunk 資安智慧的應用領域 事前 預防 事發 偵測 事後 應變 事終 回復 稽核 法規遵循 監控與告警 事件分析
  30. 30. 30 Splunk 是資安分析師的最愛 資料格式不限 搜尋功能完整強大 搜尋速度飛快 即時搜尋能力 客製搜尋表單介面 資料交叉關連分析 統計運算與預測 資料圖像化能力 內建多種報表呈現 拖放式儀表板設定 訂製操作介面 App下載擴充功能 擷取外部資料庫資料 連結Hadoop使用 擷取外部XML資料 地理資訊呈現 可撰寫客製指令 與外部程式整合
  31. 31. 31 有多種分析用 Apps 數值變化的學習與預測 檢查是否有連線到釣魚網站 檢查 IP 黑名單 與 Reputation 建立與測試資料關聯性
  32. 32. 32 有很多圖像分析工具可用
  33. 33. 33 處理各種不同類型的資料也很容易
  34. 34. 34 Cisco CSIRT 的故事
  35. 35. 35 SIEM/Logging 的歷史與挑戰 • 大量資料需要分析處理 • 為數眾多的資料類型需要收集 • 資料處理需要彈性 • 搜尋速度與報表要快 • 要能滿足資安分析師的搜尋需求
  36. 36. 36 全球佈署架構 • 25 indexers / 7 clusters • HA, load balanced, & scalable • Index up to 1TB/day • 150 TB Storage
  37. 37. 37 搜尋速度令人滿意
  38. 38. 38 搜尋功能也滿足需求 • 關鍵字搜尋 • 欄位搜尋 • 正規表示式搜尋 • 資料關連 • 子查詢與 Join • 資料加工處理 • 資料運算與統計 • 資料標記(Tag)與事件類型 (Event Type)管理 • 排版與樞紐分析
  39. 39. 39 Mac Flashback Example
  40. 40. 40 來自 Cisco CSIRT 的評語
  41. 41. 41 Honeynet 成員的分析工具 • 將所有 Honeypots, Honeyclients, 以及分析工 具透過 HPFeeds protocol 集中到 Splunk 上 • 利用 Splunk 的 Javascript SDK 與 d3.js lib 客製開發 一個資料呈現與分析介面 Acapulco – Building Clustered Parallel Coordinates Graphs from HPFeeds data
  42. 42. 42 呈現不同維度資料的關聯性 以 saddr, sport, dport, daddr, url 等欄位來分析關聯性 作者也把 source code 釋出,安裝後即可使用
  43. 43. 43 中華電信以 Splunk 快篩 APT 事件 Livedump Uploading.. 50% Users Security experts
  44. 44. 44 攻擊足跡收集的工具 階段 足跡 收集的工具 植入特製後門程式 • Run key • Dropped files • Suspicious process Autoruns.exe MFTdump.exe PSList.exe 偷取帳號與密碼 • Hook API • Password dump API • NetBIOS cache dump API Strings.exe 打包重要資料 • PDF/Word/Excel Lass access time MFTDump.exe 網路探勘 • Net flows • Browser caches Firewall Log IECacheView 入侵其他主機 • Event log • Remote Job • Suspicious accounts /shares Psloglist.exe PsLoggedon.exe Net user/share
  45. 45. 45 自動化採樣工具介紹 • LiveDump – 由 中華電信研究院 資通安全研究所 開發 – 可自動收集系統資訊,簡化APT足跡收集程序 – 操作簡單方便,”阿姨”也可快速上手 – 具Silent mode,可透過AD部署
  46. 46. 46 LiveDump執行結果 • LiveDump執行結果 – 打包與壓縮所有收集的資訊
  47. 47. 47 SourceType examples File storage structure Autorun Network connection Process and DLLs RDP Log
  48. 48. 48 APT快篩概念 流感快篩:用已知的抗體偵測流感病毒的表面抗原, 再以免疫沈澱的方式呈色肉眼判讀。 APT快篩:寧可誤判也不要漏報。 Livedump 2Livedump 1 Livedump 3 Livedump 4 ……………….. Livedump N
  49. 49. 49 步驟一:檢查Autorun簽章未驗證項目 host="20120918_192.168.1.3" sourcetype="autoruns" NOT "(Verified)" 從服務說明看起來是微軟的服務,應該有簽章才對
  50. 50. 50 步驟二:查看惡意程式是否有啟動 由svchost.exe啟動,PID為1004 host="20120918_192.168.1.3" sourcetype=“listdlls“ 6to4ex.dll
  51. 51. 51 步驟三:檢查是否有網路行為 UDP 123是校時用的服務 host="20120918_192.168.1.3" sourcetype=“netstat”1004
  52. 52. 52 步驟四:檢查檔案產生時間 檔案植入在2012/9/18 2012/09/18 下午 02:16 77,824 VM-XP-PRO-SP1Administor6to4ex.dll host="20120918_192.168.1.3" sourcetype="filesinsystem32" 6to4ex.dll
  53. 53. 53 步驟五:檢查是否有同黨 檢查當天System32所產生檔案,發現多 隻相同檔案大小之dll檔,檔案結尾皆為 ex.dll
  54. 54. 54 步驟六:擴大檢查範圍 檢查Temp目錄夾後,發現temp.exe與 temp.pps兩個檔案 host="20120918_192.168.1.3" sourcetype="filesintemp" 2012/09/18
  55. 55. 55 步驟七:找出根因 檢查Prefetch,確認使用者在2012/9/18 下午2:16 執行偽裝的PPS檔「101年薪資結構調整策略說 明?spp.scr」 。
  56. 56. 56 分析6to4ex.dll找出更多特徵 產生 *ex.dll 結尾之元件 寫入 C:Document & SettingsAll Usersnetlog
  57. 57. 57 發現可用來快篩的特徵 • 產生*ex.dll之惡意元件。 Search: sourcetype = MFTDump FileName=*ex.dll • 反轉字元的scr檔案。 Search: sourcetype=MFTdump Filename=*?*.scr • Listen在UDP 123及1025。 Search: sourcetype = netstat AND “:123” AND “:1025” • 具Key logger功能,檔案寫入c:Document & SettingsAll Usersnetlog Search: sourcetype=strings AND“netlog”AND [end]
  58. 58. 58 以新發現特徵進行全面快篩 檢驗其他主機是否有*ex.dll檔案
  59. 59. 59 結論 • 「預防」只是理想,「應變」才是現實 • 資安管理進入大數據時代 • 資安事件分析有可操作性與時效性的需求 • Splunk 可以補強傳統 SIEM 的不足
  60. 60. 60 用IT創新‧推動企業‧前進的力量 Thank You

×